APT-группа FamousSparrow атакует бизнес и госсектор через ProxyLogon

Татьяна Никитина 23 Сентября 2021 - 17:31

Таргетированные атаки

...

APT-группа FamousSparrow атакует бизнес и госсектор через ProxyLogon

Эксперты ESET изучили modus operandi новой APT-группы, которую они нарекли FamousSparrow. Злоумышленники проникают в сети госструктур и частных компаний через уязвимости веб-приложений, в том числе Microsoft Exchange.

Эта хакерская группировка, по данным ESET, действует в интернете с 2019 года. Ее боевой арсенал включает уникальный бэкдор — исследователи идентифицируют его как SparrowDoor. Очевидной связи с другими APT-группами не выявлено, хотя зафиксированы случаи, когда FamousSparrow использовала чужую программу-загрузчик или уже засветившийся C2-домен.

В марте этого года ОПГ начала штурмовать свои мишени через уязвимости в Microsoft Exchange Server, известные под общим именем ProxyLogon. Хакеры обнаружили эти лазейки раньше выхода патчей и быстро взяли их на вооружение — как и некоторые их коллеги по цеху (в ESET знают более десятка таких APT-групп).

К сожалению, несмотря на наличие патчей, проблема ProxyLogon, видимо, далеко не везде решена на местах. В середине лета она вышла в топ списков уязвимостей, наиболее популярных у злоумышленников, и актуальна до сих пор.

Кроме дыр в Microsoft Exchange, хакеры FamousSparrow в качестве точки входа используют также уязвимости Microsoft SharePoint и Oracle Opera. На взломанном сервере устанавливается бэкдор (SparrowDoor); анализ показал, что вредоносный код загружается в память текущего процесса по методу подмены DLL.

Инструментарий взломщиков также включает две кастомные версии Mimikatz. NetBIOS-сканер (Nbtscan) и небольшую утилиту для получения данных из памяти — таких, как логины и пароли.

Исследователи выявили порядка 20 очагов заражения, возникших в результате атак FamousSparrow. Хакеры наследили по всему миру — в Европе (Великобритания, Франция, Литва), обеих Америках (Канада, Бразилия, Гватемала), Азии, Африке, на Ближнем Востоке. Заражений в США, к удивлению экспертов, пока не обнаружено.

Основной целью атак FamousSparrow предположительно является шпионаж. Примечательно, что большинство жертв этой APT-группы — держатели гостиниц. В комментарии для The Register представитель ESET высказал такое предположение:

«Кибершпионы интересуются отелями, чтобы следить за своей целью во время ее путешествий. К тому же, проникнув в сеть отеля, они получают возможность отслеживать трафик всех гостей».

Следующая главная новость »

Машинное обучение и ИИ в ИБ: где работает, а где — миф? Обсудим на эфире — регистрируйтесь!

Екатерина Быстрова 24 Февраля 2026 - 17:44

PT Network Attack Discovery Корпорации Сетевая безопасность Системы анализа трафика (NTA)Системы мониторинга сети Системы сетевой криминалистики Positive Technologies

В PT NAD 12.4 добавили JA4 и новые модули контроля

Positive Technologies выпустила новую версию системы поведенческого анализа сетевого трафика PT Network Attack Discovery — 12.4. В релизе расширили управление дочерними системами через центральную консоль, добавили учёт времени суток в правилах профилирования и внедрили новые экспертные модули для контроля инфраструктуры.

Одно из ключевых изменений — доработка центральной консоли. Теперь через неё можно не только анализировать данные с дочерних инсталляций, но и управлять ими.

В версии 12.4 расширены возможности работы с иерархией: появились профили, механизм управления исключениями, настройка правил обнаружения атак, групп узлов и портов, а также репутационных списков. Это должно упростить администрирование распределённых систем.

В разделе репутационных списков добавлена возможность гибко включать и отключать их в зависимости от особенностей конкретной инфраструктуры. Каждый список теперь снабжён текстовым описанием. Кроме собственных репутационных данных Positive Technologies, в поставку включены индикаторы компрометации от ФСТЭК — это может быть важно для компаний, которым необходимо учитывать требования регулятора.

Обновления затронули и механизмы самообучения. Система автоматически определяет периоды высокой и низкой сетевой активности и снижает порог срабатывания пользовательских правил в «тихие» часы. Это позволяет точнее выявлять аномалии, например ночью, когда часто происходят атаки с использованием программ-вымогателей.

В продукт добавлены экспертные модули для выявления потенциальных нарушений корпоративных политик и контроля состояния инфраструктуры. В частности, система теперь отслеживает службы, доступные из интернета по публичному IP-адресу (например, SMB), контролирует истекающие TLS-сертификаты и фиксирует наличие промышленных протоколов в трафике — такие признаки могут указывать на ошибки сегментации или конфигурации сети.

Также в версии 12.4 реализован анализ отпечатков JA4. Этот механизм помогает выявлять особенности клиента по параметрам TLS-соединения и поведению в зашифрованных каналах, что может быть полезно для обнаружения подозрительных сессий и вредоносных инструментов. Кроме того, сигнатурный движок PT NAD теперь совместим с синтаксисом правил Suricata 7.0, что расширяет возможности по настройке детектирования.

Обновление до версии 12.4 доступно через техническую поддержку или партнёров компании.

Машинное обучение и ИИ в ИБ: где работает, а где — миф? Обсудим на эфире — регистрируйтесь!